OpenCart是否对OWASP前10强化?

时间:2012-12-18 12:49:01

标签: php opencart owasp

我找到了“测试指南”,但它编号300 pages。阅读它并为自己测试会很好,但我想知道是否有人已经完成了这项工作。我在OC论坛上发现thread关于PCI合规性的问题,当我搜索这个时,但这是一个切线问题。

所有人都知道,具体,如果OpenCart对OWASP十大威胁列表进行了强化吗?

1 个答案:

答案 0 :(得分:4)

AFAIK,从我糟糕的测试(以及因为我知道如何编写OC),我可以说,基础OC (没有任何3 rd 派对扩展)是安全的:

  • 破解访问控制
  • 所有用户输入已经过验证,因此安全于SQL 或其他注入
  • XSS
  • 不安全的加密存储空间 - OC不会存储任何敏感数据,并且会通过SSL处理默认的在线付款选项
  • DoS (间接 - 现在服务器防火墙区分DoS攻击并阻止与IP的通信)
  • 不安全的直接对象引用(除非可以直接访问FTP,否则只能上载和下载允许的资源类型)
  • 安全配置错误 - 无法访问OC配置文件,用户应自行更新其商店...

到目前为止我没有检查/遇到的事情:

    由于外语(不同的编码集)输入
  • 缓冲区溢出

弱点(不是缺陷!):

  • OC 前端未受到 CSRF 的良好保护,后端是
  • 会话管理 - 解密会话信息的可能性问题与95%以上的网络应用程序相同
  • 直到直接设置/取消设置,OC将报告并显示可能出现的任何错误消息,以帮助攻击者轻松找到可能的漏洞...

从我的观点来看,OC是一个非常安全的开源电子商务解决方案! (除非有一个编写得不好的扩展程序...)

相关问题
最新问题